Хакеры используют критическую уязвимость в реактивном блокноте Python Marimo для развертывания нового варианта вредоносного ПО NKAbuse, размещенного на Hugging Face Spaces.
Атаки, использующие уязвимость удаленного выполнения кода (CVE-2026-39987), начались на прошлой неделе с целью кражи учетных данных, менее чем через 10 часов после публичного раскрытия технических подробностей, согласно данным компании Sysdig, занимающейся облачной безопасностью.
Исследователи Sysdig продолжили отслеживать активность, связанную с проблемой безопасности, и выявили дополнительные атаки, включая кампанию, начавшуюся 12 апреля, которая злоупотребляет платформой Hugging Face Spaces для демонстрации приложений на базе ИИ.
Hugging Face выступает в качестве платформы, ориентированной на разработку ИИ и машинное обучение, служа хабом для активов ИИ, таких как модели, наборы данных, код и инструменты, которыми обменивается сообщество.
Hugging Face Spaces позволяет пользователям развертывать и делиться интерактивными веб-приложениями непосредственно из Git-репозитория, как правило, для демонстраций, инструментов или экспериментов в области ИИ.
В атаках, которые наблюдала Sysdig, злоумышленник создал пространство с именем vsccode-modetx (преднамеренный тайпосквоттинг VS Code), которое размещает дроппер-скрипт (install-linux.sh) и бинарный файл вредоносного ПО с именем kagent, что также является попыткой имитировать легитимный инструмент Kubernetes AI agent.
После использования RCE в Marimo злоумышленник выполнил команду curl для загрузки скрипта с Hugging Face и его выполнения. Поскольку Hugging Face Spaces является легитимной HTTPS-конечной точкой с чистой репутацией, вероятность срабатывания оповещений ниже.
Дроппер-скрипт загружает бинарный файл kagent, устанавливает его локально и обеспечивает постоянство через systemd, cron или macOS LaunchAgent.
По данным исследователей, полезная нагрузка представляет собой ранее не документированный вариант вредоносного ПО NKAbuse, нацеленного на DDoS-атаки. Исследователи Kaspersky сообщили об этом вредоносном ПО в конце 2023 года и подчеркнули его новаторское злоупотребление децентрализованной одноранговой сетевой технологией NKN (New Kind of Network) для обмена данными.
Sysdig заявляет, что новый вариант функционирует как троян удаленного доступа, способный выполнять команды оболочки в зараженной системе и отправлять результаты оператору.
«Бинарный файл ссылается на NKN Client Protocol, WebRTC/ICE/STUN для обхода NAT, управление прокси и структурированную обработку команд — что соответствует семейству NKAbuse, первоначально задокументированному Kaspersky в декабре 2023 года», — упоминает Sysdig в отчете.
Sysdig также обнаружила другие примечательные атаки с использованием CVE-2026-39987, включая попытку оператора из Германии применить 15 техник обратной оболочки через несколько портов.
Затем они перешли к боковому перемещению, извлекая учетные данные базы данных из переменных среды и подключаясь к PostgreSQL, где быстро перечисляли схемы, таблицы и конфигурационные данные.
Другой злоумышленник из Гонконга использовал украденные учетные данные .env для нацеливания на сервер Redis, систематически сканируя все 16 баз данных и выгружая сохраненные данные, включая токены сеансов и записи кэша приложений.
Общий вывод заключается в том, что эксплуатация CVE-2026-39987 в реальных условиях возросла по объему и тактике, и крайне важно, чтобы пользователи немедленно обновились до версии 0.23.0 или новее.
Если обновление невозможно, рекомендуется заблокировать внешний доступ к конечной точке «/terminal/ws» через брандмауэр или заблокировать ее полностью.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
